Amenaza.
Están presentes en cada sistema o activo bajo las premisas de:
- Confidencialidad.
- Disponibilidad.
- Integridad.
El propósito es reducir el impacto negativo. De naturaleza defensiva.
Metodología para la gestión de riesgos por escenarios.
- Escenario (Causa) donde una acción o suceso (incidente) compromete la seguridad de un Activo de Información.
- Causa: Motivo o circunstancia.
La metodología trabaja por escenarios de riesgo, simplificando el inventario de activos de información y optimizando su uso pero sin eliminarlo; teniendo en cuenta que esto facilita el análisis de vulnerabilidades y amenazas asociadas a los diferentes activos, los cuales a su vez se encuentran agrupados por escenarios de riesgo, evitando así duplicar las actividades de identificación de amenazas, vulnerabilidades y controles de remediación. Se debe tener especial cuidado a la hora de definir los escenarios de riesgo, debido a que de esta depende que se identifiquen todas las amenazas y vulnerabilidades pertinentes a la totalidad de los activos que conforman el escenario de riesgo, logrando así realizar un análisis de riesgo de forma efectiva y lo más acertada posible optimizando tiempo y recursos.
El análisis por escenarios interactúa también con los procesos permitiendo obtener una visión global de la organización y los riesgos potenciales a los que está expuesta, generando conciencia para obtener el apoyo requerido por parte de la alta gerencia.
La metodología propuesta toma como base los estándares ISO/IEC 27005:2011, ISO/IEC 31000:2011 e ISO/IEC 28000:2008; haciendo una fusión de los tres estándares, tomando las mejores prácticas de cada uno. La metodología se fundamenta en las siguientes fases:
1. Alineación de los estándares
La metodología busca fusionar las estructuras de las normas ISO/IEC 27005: 2009, ISO/IEC 31000:2011 e ISO/IEC 28000:2008 bajo el ciclo PHVA, complementándolas de forma estratégica.
2. Pasos de la metodología
a. Definición de los escenarios: En la definición del escenario de riesgo se debe tener en cuenta el nivel de afectación que tendrá cada uno de los escenarios sobre las propiedades de la seguridad de la información, “Confidencialidad”, “Integridad” y “Disponibilidad”. A continuación se relacionan los principales escenarios de riesgo.
- Información electrónica/digital.
- Hardware.
- Software/Aplicaciones.
- Sitios WEB.
- Servicios.
- Infraestructura (Locaciones).
- Servidores IT.
- Dispositivos (comunicaciones y seguridad).
- Base de Datos.
- Personal.
b. Establecimiento del contexto.
c. Establecimiento del plan de comunicación interno y externo.
d. Valoración de riesgos por escenarios.
e. Tratamiento de riesgos por escenarios.
f. Monitoreo y mejora continua del proceso de gestión.
Perfiles de una Amenaza.
Determinan conjuntos típicos de amenazas, su tasa anual estimada de ocurrencia, y la degradación típica que causan en los activos, pueden variar a partir de un escenario a otro.
Los perfiles de amenazas proporcionan respuestas a las siguientes preguntas:
- ¿Cuáles son las amenazas típicas sobre este activo?
- ¿Cuál es la probabilidad típica?
- ¿Cuál la degradación típica?
Amenazas a la Información.
Ejemplos:
- Daño físico (Contaminación, accidentes, fuego, etc.)
- Introducción de código malicioso al sistema.
- Accesos/cambios no autorizados.
- Ilegalidad de software.
- Fraudes /robos de identidad.
- Pérdida inesperada de los servicios críticos.
- Accidentes ocasionados por eventos de la naturaleza.